Sommaire
Le règlement européen DORA (Digital Operational Resilience Act) devrait entrer en vigueur à la fin de l’année. Pour le secteur financier, il s’ajoute à de nombreuses autres normes, visant à assurer la stabilité des institutions en cas de crise systémique. Sa spécificité ? Tenir compte des nouveaux risques, notamment les attaques étatiques dans un monde en tension, et des nouvelles pratiques, comme le recours à des prestataires informatiques et des services dans le cloud, y compris pour le cœur de métier. DORA est également prévu pour permettre un contrôle des régulateurs non seulement au sein des entreprises clientes, mais aussi chez les prestataires.
« DORA vient compléter un ensemble de règles qui existaient déjà sur lesquelles les banques sont prêtes. Mais il y a également des sujets propres à DORA qu’il faut traiter de manière holistique, estime Mathieu Duponchel, associé du cabinet d’études et d’audit Mazars. DORA apporte un renforcement important de la prise en compte du risque informatique par la direction, en embarquant toute la partie gestion du système d’information. C’est finalement l’intégration du risque IT dans la gouvernance du système d’information. » Avec la réglementation DORA, les défaillances informatiques ne sont plus uniquement l’affaire de la Direction des systèmes d’information (DSI) et des services de conformité, mais il faut désormais en tenir compte au plus haut niveau. Et surtout, les institutions financières doivent mesurer l’impact d’une vulnérabilité ou d’un vol de données. Cet impact doit être vérifié à la fois sur leur propre système d’information, et sur l’ensemble de leur activité, que cet incident se produise au sein de leur infrastructure ou chez leurs prestataires.
Une émergence possible de labels européens
L’autre grande nouveauté de DORA, c’est tout simplement qu’il s’applique au niveau européen. Pour la première fois, une norme globale concernant la résilience informatique s’applique à l’ensemble des pays de l’Union européenne, avec les mêmes critères. D’un pays à l’autre, d’une institution financière à l’autre, il ne sera plus possible de passer sous silence certains incidents opérationnels, même s’ils restent inaperçus pour le grand public. Cette uniformisation pourrait dans un second temps donner lieu à l’émergence de labels européens, à l’image du SecNumCloud délivré par l’Agence nationale de sécurité des systèmes d’information (ANSSI) en France, pour certifier les prestataires de services informatiques, concernant leur sécurité et leur capacité à traiter des données du monde financier.
Mais avant de présenter un front uni contre les risques cyber, il reste beaucoup de choses à mettre en place. D’autant que, fin 2022, toutes les modalités d’application de DORA ne seront pas encore définies. Les dernières règles devraient être publiées dans le courant de l’année 2023 ou au tout début 2024, pour une entrée en vigueur prévue 24 mois après l’adoption initiale du règlement, soit à la fin de l’année 2024. Et gare aux institutions et aux prestataires qui ne seraient pas prêts dans les temps. Les régulateurs de chaque pays seront habilités à procéder à des contrôles et les sanctions pourront se révéler plus que symboliques. En effet, en cas de non-conformité, les astreintes journalières pour régulariser sa situation pourraient s’élever jusqu’à 1 % du chiffre d’affaires mondial de la société sanctionnée. De quoi donner à réfléchir. Et inciter à se préparer bien en amont.
Se prémunir des défaillances externes : le défi le plus important
Question posée : Quel est le défi le plus important que votre société va relever en se conformant aux obligations de résilience opérationnelle l’an prochain ?
